Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Busque la clave KMS de una AWS CloudHSM clave Si conoce la referencia clave o el ID de una clave que `kmsuser` posee en el clúster, puede usar ese valor para identificar la clave de KMS asociada en su almacén de AWS CloudHSM claves. Cuando AWS KMS crea el material clave para una clave de KMS en el AWS CloudHSM clúster, escribe el nombre de recurso de Amazon (ARN) de la clave de KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede utilizar el comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para identificar la clave KMS asociada a la clave de AWS CloudHSM . **Notas** Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`. El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *. Para ejecutar estos procedimientos, debe desconectar temporalmente el almacén de AWS CloudHSM claves para poder iniciar sesión como CU. `kmsuser` **nota** Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales. **Topics** + [ ## Identificación de la clave KMS asociada a una clave de referencia ](#key-reference-filter) + [ ## Identificación de la clave de KMS asociada a un ID de clave de respaldo ](#backing-key-id-filter) ## Identificación de la clave KMS asociada a una clave de referencia Los siguientes procedimientos muestran cómo utilizar el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM con el filtro de atributos `key-reference` para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM . 1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, inicie sesión como se explica en[Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1). `kmsuser` 1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para filtrar por el atributo `key-reference`. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente. Antes de ejecutar este comando, reemplace el `key-reference` de ejemplo por uno válido de su cuenta. ``` aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0xbacking-key-id", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } ``` 1. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en[Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2). ## Identificación de la clave de KMS asociada a un ID de clave de respaldo Todas las entradas de CloudTrail registro de operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un `additionalEventData` campo con la `customKeyStoreId` letra y. `backingKeyId` El valor devuelto en el campo `backingKeyId` se correlaciona con el atributo `id` de clave de CloudHSM. Puede filtrar la operación [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) por el atributo `id` para identificar la clave KMS asociada a un `backingKeyId` específico. 1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, e inicie sesión como `kmsuser` se explica en[Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1). 1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM con el filtro de atributo para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM . En el siguiente ejemplo se muestra cómo filtrar por atributo `id`. AWS CloudHSM reconoce el valor de `id` como un valor hexadecimal. Para filtrar la operación de la **lista de claves** por `id` atributo, primero debe convertir el `backingKeyId` valor que identificó en la entrada de CloudTrail registro a un formato que AWS CloudHSM reconozca. 1. Utilice el siguiente comando de Linux para convertir `backingKeyId` en una representación hexadecimal. ``` echo backingKeyId | tr -d '\n' | xxd -p ``` El siguiente ejemplo muestra cómo convertir la matriz de bytes de `backingKeyId` en una representación hexadecimal. ``` echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p 35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964 ``` 1. Anexe la representación hexadecimal del `backingKeyId` con `0x`. ``` 0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964 ``` 1. Utilice el valor de `backingKeyId` convertido para filtrar por atributo `id`. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente. ``` aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } ``` 1. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en[Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2).